خللٌ في زي كاش قد يكشف عن عناوين IP للعُقد الكاملة المحمية

يمكن أن يؤدي حدوث خلل في جميع تطبيقات زي كاش (ZEC) ومعظم نواتج انقسامها الكلي إلى تسرب بيانات التعريف التي تحتوي على العقد الكاملة بعناوين IP محمية (zaddr).

وقد كشف المطور الأساسي لكومودو (KMD)، دوك ليتو، عن الخطأ في منشور مدونة على موقعه الشخصي على الويب. وتم بالفعل تعيين كود لنقاط الضعف والتعرض الشائعة (CVE) لتتبع المشكلة في ٢٧ سبتمبر. وأوضح ليتو قائلًا:

"يوجد خطأ لجميع العناوين المحمية منذ بداية زي كاش وبروتوكول زي كاش. وقد كان موجودًا في جميع الشوك نواتج انقسام شفرة زي كاش. ومن الممكن العثور على عنوان IP للعقد الكاملة التي تملك عنوانًا محميًا (zaddr). وهذا يعني، أن قيام أليس بمنح zaddr إلى بوب ليتم دفعه، قد يسمح لبوب باكتشاف عنوان IP الخاص بأليس. وهذا ضد تصميم بروتوكول زي كاش".

وفقًا للإعلان، يمكن أن يتأثر كل من قام بنشر zaddr أو قدمه إلى جهة خارجية بالثغرة الأمنية. ويدعي ليتو أنه يجب على المستخدمين اعتبار "عنوان IP ومعلومات الموقع الجغرافي المتصلة به مرتبطة بـ [...] zaddr."

تأثر عملات مشفرة متعددة

وفقًا لليتو، لن يتأثر المستخدمون الذين لم يستخدموا أي zaddr أبدًا، أو لم يستخدموه إلا عبر شبكة Tor Onion Routing أو فقط لإرسال الأموال. علاوة على ذلك، يدعي ليتو أيضًا أن زي كاش ليست العملة المشفرة الوحيدة المتأثرة ويقدم قائمة غير شاملة.

والعملات المشفرة المدرجة في القائمة هي زي كاش وهش وبايرت وكومودو مع تمكين zaddr افتراضيًا وسيفكوين وهوريزون وزيرو وفوت كوين وسنوجم وبيتكوين زي ولايتكوين زي وزلكاش وواي كاش وأرو وفيراس وبيتكوين برايفت وزي كلاسيك وأنون. ويشير ليتو أيضًا إلى أن كومودو قامت بالفعل بتعطيل ميزة العناوين المحمية ونقلها إلى سلسلة بايرت، مما يعني أن KMD لم تعد تحتوي على الخطأ.